路由器设备
安全功能规范
S p e c i f i c a t i o n f o r R o u t e r F u n c t i o n
U s e d i n C h i n a M o b i l e
版本号：１.０.0
网络与信息安全规范编号:【网络与信息安全规范】·【第三层：技术规范·路由器】·【第3501号】2007-12-17发布2008-01-01实施
目录
1概述 (1)
1.1适用范围 (1)
1.2内部适用性说明 (1)
1.3外部引用说明 (3)
1.4术语和定义 (3)
1.5符号和缩略语 (3)
2路由器设备安全功能要求 (4)
2.1账号管理、认证授权 (4)
2.1.1账号 (4)
2.1.2口令 (4)
2.1.3授权 (5)
2.1.4认证 (5)
2.2日志 (6)
2.3IP协议安全 (6)
2.3.1基本协议 (7)
2.3.2路由协议 (7)
2.3.3SNMP协议 (7)
2.3.4MPLS (8)
2.4设备其他安全功能 (8)
前言
1概述
1.1 适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的各类路由器设备和具实际使用启用了路由功能的设备。

本规范明确了路由器设备在安全功能方面的基本要求。

本规范可作为编制路由器设备入网测试规范等文档的参考。

1.2 内部适用性说明
本规范是在《设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备功能要求的基础上，提出的路由器设备安全功能要求。

以下分项列出本规范对《通用规范》设备功能要求的修订情况：
具体见下表：
安全要求-设备-路由器-功能-13
安全要求-设备-路由器-功能-14
安全要求-设备-路由器-功能-15-可选
安全要求-设备-路由器-功能-16
安全要求-设备-路由器-功能-17
安全要求-设备-路由器-功能-18
安全要求-设备-路由器-功能-19
安全要求-设备-路由器-功能-20-可选
安全要求-设备-路由器-功能-21-可选
安全要求-设备-路由器-功能-22
安全要求-设备-路由器-功能-23-可选
安全要求-设备-路由器-功能-24-可选
安全要求-设备-路由器-功能-25
安全要求-设备-路由器-功能-26-可选
安全要求-设备-路由器-功能-27-可选
安全要求-设备-路由器-功能-28-可选
安全要求-设备-路由器-功能-29-可选
安全要求-设备-路由器-功能-30-可选
安全要求-设备-路由器-功能-31-可选
1.3 外部引用说明
《中国移动通用安全功能和配置规范》1.4 术语和定义
1.5 符号和缩略语
2路由器设备安全功能要求2.1 账号管理、认证授权
2.1.1账号
功能要求：
2.1.2口令
功能要求：
2.1.3授权功能要求：
2.1.4认证功能要求：
2.2 日志
本规范对路由器设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。

如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。

因此，本规范适用范围内路由器设备的日志功能应满足本规范内部适用性说明中注明完全采纳的各项通用规范要求及以下各项功能要求。

功能要求：
2.3 IP协议安全
IP协议安全功能要求分为基本协议安全功能要求、路由协议安全功能要求、snmp协议安全功能要求。

基本协议安全配置可防止非法访问，过滤不必要的数据流量。

路由协议安全配置主要针对各类动态路由协议，防止未认证设备将外来路由引入本地。

SNMP是目前路由器广泛应用的管理协议，SNMP安全配置可防止未许可的SNMP访问，避免设备信息的外泄。

本规范适用范围内的路由器设备应满足本规范内部适用性说明中注明完全采纳的各项通用规范要求及以下各项功能要求。

2.3.1基本协议功能要求：
2.3.2路由协议功能要求：
2.3.3S NMP协议功能要求：
2.3.4MPLS
2.4 设备其他安全功能
本部分作为对于路由器设备除账号认证、日志、协议等方面外的安全功能要求的补充，并结合现有各厂家路由器的特色功能，对路由器设备本提出上述安全功能需求。

包括补丁升级、console口安全、网管能力等其他方面的安全能力，该部分作为前几部分路由器安全功能要求的补充。

本规范适用范围内的路由器设备应满足本规范内部适用性说明中注明完全采纳的各项通用规范要求及以下各项功能要求。

功能要求：。